MicroStrategy ONE

MicroStrategy Security-Assurance-Programm

Um eine PDF-Version nur dieser Seite anzuzeigen, klicken Sie auf hier.

MicroStrategy verfügt über ein umfassendes Sicherheitsprogramm, das auf den Schutz Ihrer Daten ausgerichtet ist – unabhängig davon, ob unser Produkt über unseren Cloud Managed Service oder lokal bereitgestellt wird. Vom Engineering bis hin zur Schwachstellenbehebung haben wir uns verpflichtet, sicherzustellen, dass unsere Produkte fortwährend Ihren Geschäfts- und Sicherheitsanforderungen entsprechen.

Zertifizierungen

  • ISO 27001-zertifiziert für MicroStrategy-Cloud-Umgebung
  • SOC2 Type II Audit für MicroStrategy-Cloud-Umgebung
  • Privacy Shield-kompatibel
  • PCI DSS-konforme Cloud-Plattform
  • Vollständig verwaltete, HIPAA-konforme Cloud-Lösung von MicroStrategy
  • Konform mit Corporate Financial System SOX
  • Herkunftsland des Produkts: Vereinigte Staaten

Persönliche Sicherheit

  • Hintergrundüberprüfungen für alle Mitarbeiter
  • Anmeldedaten für Schulungen validiert
  • Finanz-/Kredithistorie überprüft
  • Kriminellen Hintergrund überprüft

Sicherheitsschulungen und Zertifizierungen für Mitarbeiter

  • Sicherheitsprinzipien
  • Bedrohungsmodellierung
  • Websicherheit und Penetrationstests
  • Mobile Sicherheit

Sicherheitsdesignprozess

  • Bedrohungsmodellierung basierend auf STRIDE und anderen, intern entwickelten Modellen
  • Anwendung von Sicherheitsprinzipien (z. B. „Defense in Depth“)
  • Berücksichtigung von OWASP-10-Schwachstellen
  • Designüberprüfung durch dediziertes Security Engineering Team

Integrierte Sicherheitsfunktionen

  • Benutzerauthentifizierung
    • OIDC
    • SAML
    • SSO
    • LDAP/AD
    • Standard (Benutzername/Kennwort)
    • Kerberos
  • HTTPS-/TLS-Schutz für Daten, die übertragen werden
  • AES-256-Bit-Verschlüsselung für inaktive Daten
  • Rollenbasierte Zugriffskontrolle
  • Sicherheit auf Zeilenebene
  • CSRF, Clickjacking und HTML-Ausgabecodierung (für XSS-Prävention)

Sichere Entwicklung

  • Standards zur sicheren Programmierung für alle verwendeten Sprachen
  • Code-Überprüfung auf mehreren Ebenen
  • Statische Quellcodeanalyse
  • Binäres Scannen des kompilierten Codes mit de Veracode-Binärscanner
  • Manuelle Penetrationstests

Kontrolle von Drittanbieter-Komponenten

Die Verwendung von Drittanbieter-Komponenten wird streng kontrolliert. Für die Einführung neuer Komponenten in die Produkte wird ein formaler Prozess vorgeschrieben. Die unabhängige Bestätigung von Komponenten von Drittanbietern, die in die Produkte integriert sind, erfolgt über das Tool Synopsys Black Duck. Für Komponenten, die Sicherheitslücken aufweisen, wird mit höchster Priorität eine Aktualisierung oder Ersetzung geplant.

Interne Sicherheitstests

Während des gesamten Entwicklungszyklus führt MicroStrategy interne Penetrationstests durch, um die Sicherheit neuer oder modifizierter Funktionen zu validieren und um die Sicherheit der vorhandenen Produktsuite in Bezug auf neue Bedrohungen erneut zu validieren. Diese Tests umfassen die in OWASP-10 identifizierten Risiken und andere bekannte Schwachstellen. Während des Produktdesigns entwickelte Bedrohungsmodelle bieten zusätzliche Anleitungen für diese Tests.

Unabhängige Penetrationstests

Wir beauftragen mehrere Sicherheitsunternehmen jährlich mit der Durchführung von Penetrationstests. Die Tests sind umfangreich und umfassen sowohl Black-Box-Testtechniken als auch White-Box-Tests, die vollständigen Zugriff auf den Produktquellcode beinhalten. Die Behebung der bei diesen Tests identifizierten Probleme im Produkt wird sofort nach Risikopriorität geplant. Nachfolgende erneute Tests werden dann von den Sicherheitsunternehmen durchgeführt, um zu verifizieren, dass die Probleme erfolgreich gelöst wurden.

Sichere Veröffentlichung

Ein zentralisiertes Code-Repository (GitHub Enterprise) wird für die Entwicklung verwaltet. Repository-Check-Ins werden bereichsspezifischen Verfahren zur Code-Überprüfung unterzogen. Der Build-Prozess wird vom DevOps-Team gesteuert. Alle Computer, die für die Produktentwicklung eingesetzt werden, nutzen einen Virenscanner der Enterprise-Klasse, der mit den neuesten Signaturen aktualisiert wurde.

Sicherheitspatches und -upgrades

Sicherheit spielt bei MicroStrategy eine sehr wichtige Rolle. Schwachstellen werden als Probleme mit höchster Priorität behandelt und im nächsten Release behoben. Daher ist die Aktualisierung Ihrer Software eine der einfachsten, aber wichtigsten Sicherheitsvorkehrungen, die Sie ergreifen können, um für die kontinuierliche Sicherheit Ihres MicroStrategy-Produkts zu sorgen. Im Fall eines kritischen Sicherheitsproblems außerhalb des regulären Aktualisierungszyklus kann MicroStrategy einen Zwischen-Patch oder eine Problemumgehung ausgeben. Es ist jedoch weiterhin ein Upgrade erforderlich, um Ihre Bereitstellungen so sicher wie möglich zu halten.

Melden eines Sicherheitsproblems

Aktuelle MicroStrategy-Kunden können über den MicroStrategy Technical Support potenzielle Sicherheitsprobleme melden und Fragen stellen. Forscher können Probleme über unseren einreichen Berichtsseite.

Wenn Sie weitere Informationen benötigen, wenden Sie sich bitte an Ihren Ansprechpartner.